Web コンテンツ フィルタリング

適用対象:

ヒント

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Web コンテンツのフィルター処理とは

Web コンテンツ フィルター処理は、Microsoft Defender for Endpoint と Microsoft Defender for Business の Web 保護機能 の一部です。 Web コンテンツ フィルターを使用すると、組織はコンテンツ カテゴリに基づいて Web サイトへのアクセスを追跡および規制できます。 これらの Web サイトの多く (悪意がなくても) は、コンプライアンス規制、帯域幅の使用、またはその他の懸念のために問題になる可能性があります。

特定のカテゴリをブロックするように、デバイス グループ全体でポリシーを構成します。 カテゴリをブロックすると、指定したデバイス グループ内のユーザーがカテゴリに関連付けられている URL にアクセスできなくなります。 ブロックされていないカテゴリの場合、URL は自動的に監査されます。 ユーザーは中断することなく URL にアクセスでき、アクセス統計情報を収集して、よりカスタム ポリシーの決定を作成できます。 表示しているページ上の要素がブロックされたリソースを呼び出している場合、ユーザーにはブロック通知が表示されます。

注:

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

Web コンテンツ フィルタリングは、Windows Defender SmartScreen (Microsoft Edge) とネットワーク保護 (Chrome、Firefox、Brave、Opera) によって実行されるブロックを使用して、主要な Web ブラウザーで使用できます。 ブラウザーのサポートの詳細については、「前提条件」セクション 参照してください。

注:

Web コンテンツ のフィルター処理では、分離されたブラウザー セッション (Microsoft Defender Application Guard など) にポリシーは適用されません。 この機能は、プロセス名を使用して特定のブラウザーにも制限されます。 つまり、プロセス名がマスクされているため、ローカル プロキシ アプリケーション (Fiddler など) が存在する場合、Web コンテンツのフィルター処理は機能しません。

Web コンテンツ フィルター処理の利点

  • ユーザーがオンプレミスを閲覧しているかどうかにかかわらず、ブロックされたカテゴリの Web サイトにアクセスできなくなります。
  • セキュリティ チームは、実際のブロックと Web 使用状況を可視化して、同じ中央の場所にある Web レポートにアクセスできます。
  • Defender for Endpoint を使用している場合、セキュリティ チームは、 Microsoft Defender for Endpoint ロールベースのアクセス制御設定で定義されているデバイス グループを使用して、ユーザーのグループにポリシーを簡単に展開できます。
  • Defender for Business を使用している場合は、すべてのユーザーに適用される 1 つの Web コンテンツ フィルタリング ポリシーを定義できます。

前提条件

この機能を試す前に、次の表に記載されている要件を満たしていることを確認してください。

要件 説明
サブスクリプション サブスクリプションには、次のいずれかのプランが含まれている必要があります。
- Windows 10/11 Enterprise E5
- Microsoft 365 E5
- Microsoft 365 A5
- Microsoft 365 E5 セキュリティ
- Microsoft 365 E3
- Microsoft Defender for Endpoint プラン 1 またはプラン 2
- Microsoft Defender for Business
- Microsoft 365 Business Premium
ポータル アクセス Microsoft Defender ポータルにアクセスできる必要があります。
オペレーティング システム 組織のデバイスは、 最新のウイルス対策/マルウェア対策更新プログラムを使用して、次のいずれかのオペレーティング システムを実行している必要があります。
- Windows 11
- Windows 10 Anniversary Update (バージョン 1607) 以降
- macOS の可用性については、「macOS のネットワーク保護」を参照してください。
- Linux の可用性については、「Linux 用ネットワーク保護」を参照してください。
ブラウザー 組織のデバイスは、次のいずれかのブラウザーを実行している必要があります。
- Microsoft Edge
- Google Chrome
- Mozilla FireFox
-勇ましい
-オペラ
- Internet Explorer
関連する保護 組織のデバイスで Windows Defender SmartScreenネットワーク保護 を有効にする必要があります。

データの処理

データは、 Microsoft Defender for Endpoint のデータ処理設定の一部として選択されたリージョンに格納されます。 データは、そのリージョンのデータ センターから離れません。 また、お客様のデータは、Microsoft のデータ プロバイダーを含む第三者と共有されることはありません。

複数のアクティブなポリシーの優先順位

複数の異なる Web コンテンツ フィルター ポリシーを同じデバイスに適用すると、カテゴリごとにより制限の厳しいポリシーが適用されます。 次のような状況で問題が発生します。

  • ポリシー 1: カテゴリ 1 と 2 をブロックし、残りの部分を監査する
  • ポリシー 2: カテゴリ 3 と 4 をブロックし、残りの部分を監査する

その結果、次の図に示すように、カテゴリ 1 から 4 はすべてブロックされます。

監査モードに対する Web コンテンツ フィルタリング ポリシー ブロック モードの優先順位を示します

Web コンテンツ のフィルター処理を有効にする

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. ナビゲーション ウィンドウで、 設定>Endpoints>General>Advanced Features を選択します。

  3. Web コンテンツのフィルター処理が表示されるまで下にスクロールします。

  4. トグルを [オン] に切り替え、[ 設定の保存] を選択します。

Web コンテンツ フィルター ポリシーを構成する

Web コンテンツ フィルタリング ポリシーでは、どのサイト カテゴリがどのデバイス グループでブロックされているかを指定します。 ポリシーを管理するには、[設定>Endpoints>Web コンテンツ フィルター処理 ([ルール] の下) に移動します。

ポリシーを展開して、次のいずれかの親または子カテゴリをブロックできます。

親カテゴリ 子カテゴリ
アダルト コンテンツ - カルト: メンバーが社会的に受け入れられるものとは異なる信念システムへの情熱を示すグループや運動に関連するサイト。

- ギャンブル: オンライン ギャンブルと、ギャンブルのスキルと実践を促進するサイト。

- ヌード: 完全な正面と半ヌードの画像またはビデオを提供し、通常は芸術的な形で提供し、そのような資料のダウンロードまたは販売を許可する可能性のあるサイト。

- ポルノ/性的に露骨な:画像ベースまたはテキスト形式で性的に露骨なコンテンツを含むサイト。 性的指向の素材の任意の形式もここに記載されています。

- 性教育:人間の生殖と避妊に関する教育を提供するサイト、性病からの感染防止に関するアドバイスを提供するサイト、性的健康に関するアドバイスを提供するサイトなど、有益かつ非代読的な方法で性とセクシュアリティを議論するサイト。

- 味のない: 学校の子供が閲覧するのに適さないコンテンツに向いているサイト、または雇用主がスタッフがアクセスすることに不快であるとは限りませんが、必ずしも暴力的またはポルノ的ではありません。

- 暴力: 人または動物に対する暴力に関連するコンテンツを表示または宣伝するサイト。
高帯域幅 - サイトのダウンロード: ユーザーがコンピューター プログラムなどのメディア コンテンツまたはプログラムをダウンロードできるようにする主な機能を持つサイト。

- 画像共有: 主に写真の検索または共有に使用されるサイト(ソーシャルな側面を持つサイトを含む)。

- ピアツーピア: ピアツーピア (P2P) ソフトウェアをホストするサイト、または P2P ソフトウェアを使用してファイルの共有を容易にするサイト。

- ストリーミング メディア & ダウンロード: ストリーミング メディアの配布を主な機能とするサイト、またはユーザーがストリーミング メディアを検索、視聴、またはリッスンできるサイト。
法的責任 - 児童虐待の画像: 児童虐待の画像やポルノを含むサイト。

- 犯罪行為: 違法行為に関する指導、助言、または促進を行うサイト。

- ハッキング: コンピュータソフトウェアまたはハードウェアの違法または疑わしい使用のためのリソースを提供するサイト。これには、ひびが入った著作権で保護された資料を配布するサイトが含まれます。

- ヘイト & 不寛容: 人種、宗教、性別、年齢、国籍、身体障害、経済状況、性的指向、またはその他のライフスタイルの選択によって識別される可能性のある集団の任意のセクションに関する積極的、劣化、または虐待的な意見を促進するサイト。

- 違法薬物: 違法/規制物質の販売、薬物乱用の促進、関連するパラフェルナリアの販売を行うサイト。

- 不正なソフトウェア: マルウェア、スパイウェア、ボットネット、フィッシング詐欺、または著作権侵害 & 著作権侵害の使用を含む、または促進するサイト。

- 学校の不正行為: 盗作や学校の不正行為に関連するサイト。

- 自傷行為: ユーザーに対する虐待や脅威を与えるメッセージを含むサイバーいじめサイトを含む、自傷行為を助長するサイト。

- 武器: 武器、ナイフ、弾薬を含むがこれに限定されない、武器の使用を主張するサイト。
レジャー - チャット: 主に Web ベースのチャット ルームであるサイト。

- ゲーム: オンライン サービスのホスティングを通じてゲームを宣伝するサイトやゲームに関連する情報を含む、ビデオゲームまたはコンピューター ゲームに関連するサイト。

- インスタント メッセージング: インスタント メッセージング ソフトウェアまたはクライアント ベースのインスタント メッセージングをダウンロードするために使用できるサイト。

- プロフェッショナル ネットワーク: プロフェッショナル ネットワーク サービスを提供するサイト。

- ソーシャル ネットワーキング: ソーシャル ネットワーキング サービスを提供するサイト。

- Web ベースのメール: Web ベースのメール サービスを提供するサイト。
未分類 - 新しく登録されたドメイン: 過去 30 日間に新しく登録され、まだ別のカテゴリに移動されていないサイト。

- パークされたドメイン: コンテンツがないサイト、または後で使用するために駐車されているサイト。

注:

未分類には、新しく登録されたドメインとパークされたドメインのみが含まれており、これらのカテゴリ以外のすべてのサイトは含まれません。

ポリシーを作成する

新しいポリシーを追加するには、次の手順に従います。

  1. Microsoft Defender ポータルで、設定>Endpoints>Web コンテンツ フィルター>+ ポリシーの追加を選択します。

  2. 名前を指定します。

  3. ブロックするカテゴリを選択します。 展開アイコンを使用して、各親カテゴリを完全に展開し、特定の Web コンテンツ カテゴリを選択します。

  4. ポリシー スコープを指定します。 デバイス グループを選択して、ポリシーを適用する場所を指定します。 選択したデバイス グループ内のデバイスのみが、選択したカテゴリ内の Web サイトにアクセスできなくなります。

    重要

    Microsoft 365 Business Premium または Defender for Business を使用している場合は、既定ですべてのユーザーに Web コンテンツ フィルター ポリシーが適用されます。 スコープは適用されません。

  5. 概要を確認し、ポリシーを保存します。

注:

  • ポリシーが作成されてからデバイスに適用されてから最大 2 時間の待機時間が発生する可能性があります。
  • デバイス グループでカテゴリを選択せずにポリシーを展開できます。 このアクションは、ブロック ポリシーを作成する前にユーザーの動作を理解するのに役立つ監査専用ポリシーを作成します。
  • ポリシーを削除するか、同時にデバイス グループを変更する場合は、ポリシーの展開に遅延が発生する可能性があります。
  • "未分類" カテゴリをブロックすると、予期しない望ましくない結果が発生する可能性があります。

エンドユーザーのエクスペリエンス

サード パーティがサポートするブラウザーのブロッキング エクスペリエンスは、ネットワーク保護によって提供されます。これにより、ブロックされた接続をユーザーに通知するシステム レベルのメッセージが提供されます。 より使いやすいブラウザー内エクスペリエンスを実現するために、Microsoft Edge の使用を検討してください。

次のエクスペリエンスは、Microsoft Edge バージョン 124 以降のすべての Web コンテンツ フィルター ブロックに対して表示されます。

コンテンツがブロックされていることを示す通知のスクリーンショット。

特定の Web サイトを許可する

Web コンテンツ フィルター処理でブロックされたカテゴリをオーバーライドして、カスタム インジケーター ポリシーを作成して 1 つのサイトを許可することができます。 カスタム インジケーター ポリシーは、問題のデバイス グループに適用されるときに、Web コンテンツ フィルター ポリシーに置き換えられます。

カスタム インジケーターを定義するには、次の手順に従います。

  1. Microsoft Defender ポータルで、[設定>Endpoints>Indicators>URL/ドメイン>[アイテムの追加] に移動します。

  2. サイトのドメインを入力します。

  3. ポリシー アクションを [許可] に設定します。

紛争カテゴリ

正しく分類されていないドメインが発生した場合は、Microsoft Defender ポータルから直接カテゴリに異議を唱えることができます。

ドメインのカテゴリに異議を唱える場合は、[ レポート>Web 保護>Web コンテンツ フィルタリング カテゴリの詳細>Domains] に移動します。 Web コンテンツ フィルター レポートの [ドメイン] タブで、各ドメインの横にある省略記号を見つけます。 省略記号の上にマウス ポインターを合わせ、[ 紛争カテゴリ] を選択します。

優先度を選択し、再分類の推奨カテゴリなどの詳細を追加できるパネルが開きます。 フォームを完了したら、[送信] を選択 します。 チームは 1 営業日以内に要求を確認します。 すぐにブロックを解除するために、 カスタム許可インジケーターを作成します。

Web コンテンツ フィルタリング カードと詳細

[ レポート>Web 保護 ] を選択して、Web コンテンツのフィルター処理と Web 脅威保護に関する情報を含むカードを表示します。 次のカードは、Web コンテンツのフィルター処理に関する概要情報を提供します。

カテゴリ別の Web アクティビティ

このカードは、アクセス試行回数が最大の増減を持つ親 Web コンテンツ カテゴリを一覧表示します。 過去 30 日間、3 か月、または 6 か月間の組織内の Web アクティビティ パターンの大幅な変化を把握します。 詳細を表示するには、カテゴリ名を選択します。

この機能を使用した最初の 30 日間に、組織にこの情報を表示するのに十分なデータがない可能性があります。

カテゴリ カード別の Web アクティビティ

Web コンテンツ フィルターの概要カード

このカードには、さまざまな親 Web コンテンツ カテゴリにわたるブロックされたアクセス試行の分散が表示されます。 色付きのバーの 1 つを選択すると、特定の親 Web カテゴリに関する詳細情報が表示されます。

Web コンテンツ フィルターの概要カード

Web アクティビティの概要カード

このカードには、すべての URL 内の Web コンテンツに対する要求の合計数が表示されます。

Web アクティビティの概要カード

カードの詳細を表示する

カードのグラフからテーブル行または色付きバーを選択すると、各カードの レポートの詳細 にアクセスできます。 各カードのレポートの詳細ページには、Web コンテンツ カテゴリ、Web サイト ドメイン、デバイス グループに関する広範な統計データが含まれています。

Web 保護レポートの詳細

  • Web カテゴリ: 組織内でアクセス試行を行った Web コンテンツ カテゴリを一覧表示します。 特定のカテゴリを選択して、概要ポップアップを開きます。

  • ドメイン: 組織内でアクセスまたはブロックされている Web ドメインを一覧表示します。 特定のドメインを選択すると、そのドメインに関する詳細情報が表示されます。

  • デバイス グループ: 組織内で Web アクティビティが生成されたすべてのデバイス グループを一覧表示します

ページの左上にある時間範囲フィルターを使用して、期間を選択します。 また、情報をフィルター処理したり、列をカスタマイズしたりすることもできます。 行を選択すると、選択した項目に関する詳細情報が表示されたポップアップ ウィンドウが開きます。

既知の問題と制限事項

ネットワーク保護では現在、SSL 検査がサポートされていないため、通常はブロックされる Web コンテンツ フィルターによって許可されるサイトが存在する可能性があります。 TLS ハンドシェイクが行われた後に暗号化されたトラフィックが可視化されておらず、特定のリダイレクトを解析できないため、サイトは許可されます。 これには、一部の Web ベースのメール ログイン ページからメールボックス ページへのリダイレクトが含まれます。 受け入れられた回避策として、ログイン ページのカスタム ブロック インジケーターを作成して、ユーザーがサイトにアクセスできないようにすることができます。 これにより、同じ Web サイトに関連付けられている他のサービスへのアクセスがブロックされる可能性があることに注意してください。

Microsoft 365 Business Premium または Microsoft Defender for Business を使用している場合は、環境に対して 1 つの Web コンテンツ フィルタリング ポリシーを定義できます。 このポリシーは、既定ですべてのユーザーに適用されます。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。